Tietosuojan toteuttaminen käytännössä Terapiakeskus Terapeija Webinaari, 27.9.2016 Eija Warma, asianajaja, LL.M. (US), CIPP/E Asianajotoimisto Castrén & Snellman Oy 1
Päivän aiheet Henkilörekisterinpitoon liittyvät dokumentit Rekisteriseloste/ tietosuojaseloste Suostumuslomake Omavalvontasuunnitelma Henkilötietojen käsittelyn ulkoistamista koskeva sopimus Asiakkaiden informointi ja oikeudet Sosiaalinen media osana työskentelyä 2
Henkilötiedon käsittelyn elinkaari asetuksen voimaantulon jälkeen Toimenpiteet ennen käsittelyn aloittamista Toimenpiteet henkilötietojen käsittelyn aikana Toimenpiteet käsittelyn perusteen lakattua Määritä: käsittelyn tarkoitus, käsittelyn kannalta tarpeellinen tieto, tietojen säilyttämis- ja hävittämisajat ja käytännöt Sisäänrakennettu ja oletusarvoinen tietosuoja Määritä riittävät tietoturvatoimet Laadi ohjeistus henkilötietojen käsittelylle ja tarvittavat rekisteriselosteet ja mahdolliset käytännesäännöt Hanki mahdolliset sertifioinnit Tee tarvittaessa vaikutustenarviointi ja nimitä tietosuojavastaava Muista ulkoistaessa kirjallinen tietojenkäsittelysopimus Henkilötietoja kerätessä, informoi rekisteröityjä asetuksessa määritellyn mukaisesti (Huolehdi ilmoitukset viranomaiselle) Yt-menettely Hallinnoi ja ylläpidä tarvittavat suostumukset - Huomioi erityisesti kieltooikeuden käyttö Ylläpidä tietosuojaohjeistukset, rekisteriselosteet, käytännesäännöt ja sertifikaatit - Huolehdi saatavuudesta tietoja kerättäessä Tilintekovelvollisuus - Huolehdi, että voit osoittaa vaatimustenmukaisuuden Hallinnoi luovutuksia - Ylläpidä säännönmukaiset luovutukset - Varmista ad-hoc -luovutusten lainmukaisuus Kansainvälisten tiedonsiirtojen hallinta - Varmista tietojen sijainti - Varmista riittävä tietosuojan taso EU:n ulkopuolisissa maissa (esim. komission mallisopimuslause kkeet, BCR, Safe Harbor) Ylläpidä rekisteröidyn oikeuksia - Tarkastusoikeus - Oikeus vaatia tietojen korjausta /poistoa - Kielto-oikeus - Oikeus siirtää tiedot järjestelmästä toiseen Ylläpidä tietoturvaa ja poista tarpeeton tieto - Pidä tieto ajantasaisena, oikeana ja suojeltuna - Hävitä tarpeettomat tiedot säännöllisesti - Huolehdi ilmoitukset henkilötietojen tietoturvaloukkauksista viranomaiselle ja rekisteröidyille Siirrä tiedot mahdolliselle seuraavalle käsittelijälle Varmista kaikkien henkilötietojen lopullinen hävittäminen Varmista tietojen myöhempi hävitys, jos tietoja on säilytettään pidempään 3
Rekisteriseloste/tietosuojaseloste Rekisterinpitäjän nimi ja yhteystiedot Henkilötietojen käsittelyn tarkoitus Kuvaus tietotyypeistä Mihin tietoja säännönmukaisesti luovutetaan? Siirretäänkö tietoja EU/ETA:n ulkopuolelle? Kuvaus rekisterin suojauksen periaatteista à Rekisterinpitäjän on pidettävä rekisteriseloste jokaisen saatavilla Tietosuoja-asetuksen myötä päivitettävä: Henkilötietojen säilytysaika tai säilytysajan määrittämisen kriteerit, käsittelyn oikeusperuste, profiloinnin olemassaolo, kansainvälisten tiedonsiirtojen suojatakeet, oikeus peruuttaa suostumus ja oikeus tietyissä tilanteissa vastustaa henkilötietojen käsittelyä, oikeus valittaa tietosuojaviranomaiselle 4
Suostumus o o o o Vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu Aktiivinen toimi Selvästi erillään muista asioista Oikeus peruuttaa milloin tahansa (tästä oikeudesta ilmoitettava) Suostumus henkilötietojen käsittelyperusteena Esim. sähköinen suoramarkkinointi Suostumus potilastiedon ja sosiaalihuollon asiakastiedon luovutuksen perusteena Alle 15-vuotiaan puolesta huoltaja (tietosuoja-asetus: ikäraja 13-16 v.) Rekisterinpitäjän näyttötaakka suostumuksen olemassaolosta Kuvasitaatti: http://www.kanta.fi/documents/10180/3441111/suostumuslomake+pdf.pdf 5
Omavalvontasuunnitelma? Kaksi erillistä omavalvontasuunnitelmaa! Omavalvonta tähtää palveluiden laadun ja toiminnan vaatimustenmukaisuuden varmistamiseen Tunnistetaan toiminnan riskit, kriittiset työvaiheet ja mahdolliset epäkohdat ennaltaehkäistään ja päästään puuttumaan ongelmiin nopeasti Tietosuoja ja -turva on vain yksi osa omavalvontaa Tietosuojaa koskevat, terapeuttien toiminnassa tehtävät omavalvontasuunnitelmat : Laki yksityisestä terveydenhuollosta (152/1990) 6 : Palvelujen tuottajan toimiessa useammassa kuin yhdessä toimipaikassa tulee laatia palvelujen tuottajan ja sen erillisten toimipaikkojen toiminnan kattava omavalvontasuunnitelma. Valviran määräys 2/2012 (dnro 7018/00.01.00/2012) määrittää sisällön Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007), 19h Sähköistä asiakas- ja potilastietojen käsittelyyn tarkoitettua tietojärjestelmää käyttävän sosiaalihuollon ja terveydenhuollon palvelujen antajan on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä omavalvontasuunnitelma. Laki sähköisestä lääkemääräyksestä (61/2007), 22b : Sähköisiä lääkemääräyksiä laativien toimintayksiköiden, apteekkien ja itsenäisten ammatinharjoittajien on laadittava omavalvontasuunnitelma potilastietojen salassapidon ja tietoturvan varmistamiseksi. THL määräys 2/2015 (dnro THL/1305/4.09.00/2014) määrittää sisällön 6
Omavalvontasuunnitelma Tietosuoja vain yksi osaalueista Julkinen asiakirja Tietosuoja ja tietoturva keskiössä Ei tarvitse julkaista myös parempi, ettei tieto päädy vääriin käsiin ja tietoturva vaarannu 7
Henkilötietojen käsittelyn ulkoistaminen - sopimuksen sisältö Ulkoistaminen sallittua nykyään ilmoitettava tietosuojavaltuutetulle Tietosuoja-asetuksen myötä ilmoitusvelvollisuus poistuu, mutta tehtävä tietojenkäsittelysopimus, jossa käsittelijä sitoutuu Käsittelemään tietoja vain rekisterinpitäjän ohjeiden mukaisesti Varmistamaan tietojen salassapidon Toteuttamaan vaaditut tietoturvatoimet Käyttämään alihankkijoita vain rekisterinpitäjän suostumuksella Avustamaan rekisterinpitäjää lakisääteissä velvoitteissa Tuhoamaan tai palauttamaan tiedot sovitusti Antamaan kaikki tarpeelliset tiedot rekisterinpitäjälle 8
Asiakkaiden oikeudet ja informoinnin toteuttaminen Asiakkaiden olemassa olevat oikeudet: Tarkastusoikeus Oikeus saada henkilötiedot korjatuksi ja poistetuksi Oikeus estää henkilötietojen käsittely Tietosuoja-asetuksen tuomat uudet oikeudet: Laajempi informointi ja läpinäkyvyys tietojen käsittelyssä Rekisteröityjen pyyntöihin vastaamiseen takaraja Profilointi lain piiriin Informoinnin toteuttaminen? Ylätason kuvaus tietosuojan toteuttamisesta Tietosuojaselosteet Ohjaa asiakas kysymään tarvittaessa lisää! 9
Sosiaalinen media Muuttaako some sääntelyn kannalta mitään? Potilaan oikeudet Salassapito potilasta koskevia tietoja ei saa julkaista (ilman lupaa)! Tietoturva minkä kanavien välityksellä tietoja voidaan välittää esim. vanhemmille? Tietosuojavaltuutetun kannanotto 1.7.2010 (Dnro 1475/41/2009) Terapeutin/lääkärin oikeudet Henkilötietolaki ei sovellu, jos tietoja käsitellään yksityisiin tarkoituksiin (esim. pelkkä terapeutin kuvaaminen kotialbumiin ei rajoitettua) Kuitenkin esim. rikoslain säännökset salakatselusta voivat soveltua Tietojen julkaisu internetissä käytännössä aina henkilötietolain alaista käsittelyä! Miten määritellään some-tilien julkisuus? Pelisäännöt selväksi puolin ja toisin! 10
Kertaus mitä tänään opittiin? Henkilörekisterinpitoon liittyvät dokumentit Rekisteriseloste/ tietosuojaseloste Suostumuslomake Omavalvontasuunnitelma Henkilötietojen käsittelyn ulkoistamista koskeva sopimus Asiakkaiden oikeudet ja informointi Sosiaalinen media Potilaan näkökulma Terapeutin näkökulma 11
Näin toteutat tietosuojaa käytännössä seuraavalla koulutuskerralla Oman asiakas- ja potilasrekisterin tietovirtojen tunnistaminen Tietovirtoihin liittyvien velvoitteiden tunnistaminen Toimintamallien suunnitteleminen Miten toimit, jos joku: Pyytää saada nähtäville potilastietoja Lähettämään potilastietoja eteenpäin esimerkiksi toiselle terapeutille Poistamaan tiedot kokonaan Dokumentaation luominen Rekisteriseloste/ tietosuojaseloste Suostumuslomake Omavalvontasuunnitelma 12
Seuraava koulutuskerta Koko päivän koulutus, 4.11.2016, klo 8.30-16.00 Helsinki, Sokos Hotelli Presidentti Hinta : 260 sis.alv 24% Hinta sisältää koulutusmateriaalin, aamupalan, lounaan ja ip-kahvin Ilmoittaudu mukaan 3.11. mennessä! https://www.lyyti.fi/reg/tietosuoja- KOULUTUS 13
Kysymyksiä ja keskustelua Vapaata keskustelua ja kysymyksiä! 14
Kiitos! Eija Warma Counsel, Data Protection & Privacy eija.warma@castren.fi Twitter: @EijaWarma #CastrenPrivacy Asianajotoimisto Castrén & Snellman Oy 15